Guvernul pregătește modificarea legislației bancare pentru aplicarea noului Regulamentul european pentru reziliență operațională digitală, din ianuarie 2025. Băncile și alte instituții financiare vor fi obligate să aibă proceduri clare pentru gestionarea riscurilor informatice și vor avea noi responsabilități de notificare și informare, relevă actul analizat de Profit.ro. Prin noua legislație ar trebui limitate și sancționate și incidentele informatice care afectează deseori clientela, cum sunt cele legate de plățile cu cardul și accesul la conturi.
25 iulie - Maraton Medika TV - Sanatatea Aparatului Urinar
30 iulie - Maraton Profit News TV: Inteligența Artificială în Economie
Înainte de a fi prezentată aici, informația a fost anunțată cu mult înainte pe Profit Insider
Vor fi modificate mai multe legi în vigoare, inclusiv OUG 99/2006 privind instituțiile de credit. Proiectul de lege asigură transpunerea la nivelul legislației primare a prevederilor din Directiva (UE) 2022/2556.
Reglementarea propusă prevede amendarea articolului 24 din OUG 99, astfel încât rețelele și sistemele informatice să fie incluse în cadrul operațional general de funcționare al instituțiilor de credit. Până acum, potrivit expunerii de motive, riscurile informatice erau abordate implicit în riscul operațional, dar acum sunt menționate explicit.
Această gestionare a rețelelor și sistemelor informatice ar urma să se facă conform noului Regulament (UE) 2022/2554 privind reziliența operațională digitală a sectorului financiar (DORA - Digital Operational Resilience Act), care intră în vigoare din 17 ianuarie 2025.
Banca Națională a României este autoritatea competentă pentru verificarea cadrului de administrare a riscurilor informatice. BNR va putea solicita informații și terților către care băncile au externalizat unele activități IT&C.
Potrivit noului Regulament, băncile și alte instituții financiare, inclusiv de plată, trebuie să administreze riscurile informatice și să aibă un plan și o structură clară în acest sens. Sănătatea sistemelor informatice și a procedurilor de gestionare a riscurilor trebuie testată regulat, inclusiv cu teste de penetrare. De asemenea, incidentele informatice trebuie raportate autorităților competente și clienții afectați trebuie informați.
Unele dintre cele mai vizibile riscuri sunt cele legate de atacurile cibernetice, precum și cele legate de blocarea sistemelor de plată ale băncilor, care lasă mii sau chiar sute de mii de clienți fără posibilitatea de a-și mai utiliza cardurile și în unele cazuri fără acces la conturi.
Regulamentul 2022/2554 prevede explicit că entitățile financiare trebuie să informeze clienții fără întârzieri nejustificate în cazul unor incidente majore legate de sistemele informatice și în privința măsurilor pe care le ia pentru atenuarea efectelor. Aceste prevederi se aplică inclusiv incidentelor operaționale sau de securitate legate de plăți.
Mai mult, dacă băncile vor fi sancționate administrativ pentru incidente sau lacune în sistemele informatice, autoritatea competentă – adică BNR – va publica aceste sancțiuni pe site-ul său.
Pe site-ul BNR a fost publicată în ultimii 10 ani o singură decizie care a avut legătură directă cu sistemele informatice (Libra Bank, 2020) și una privind incidente de securitate IT (Carpatica, 2016).
O intervenție în această privință a mai fost de la ANPC în 2018, care a amendat ING Bank pentru că a dublat tranzacțiile a peste 225.000 de clienți ca urmare a unei „erori operaționale”.
Includerea riscurilor informatice și trimiterea directă la regulamentul european în articolul 24 face mai clară posibilitatea BNR de a dispune nu doar măsuri, ci și de a acorda sancțiuni pecuniare de până la 10% din veniturile brute din dobânzi și comisioane, precum și amenzi de până la 5 milioane de euro aplicate conducerii – pe lângă retragerea autorizațiilor acestora (cf. articolului 229).
Sancționarea conducerii devine cu atât mai semnificativă cu cât aceasta devine parte directă din procesul de administrare a riscurilor informatice, cu ocazia intrării în vigoare a Regulamentului 2022/2554, până acum fiind mai mult responsabilitatea directorilor de departament.
O parte din noile prevederi se aplică și instituțiilor de plată și emitenților de monedă electronică.
Proiectul de lege a fost avizat de BNR și Autoritatea de Supraveghere Financiară și va merge în Parlament pentru adoptare.
